Header Navigation - ES
Background image for ¿Qué es el pretexting? Ataques, ejemplos y técnicas
Cybersecurity 101/Ciberseguridad/Pretextos

¿Qué es el pretexting? Ataques, ejemplos y técnicas

Descubra cómo el pretexting manipula la confianza para robar datos confidenciales. Conozca las tácticas que utilizan los atacantes y descubra estrategias para identificar, prevenir y defenderse de estas amenazas cibernéticas.

Autor: SentinelOne

Con la evolución de la tecnología, los delitos cibernéticos son cada vez más sofisticados en el mundo virtual, especialmente cuando se trata del uso de técnicas relacionadas con el desarrollo tecnológico. De hecho, existe un método llamado pretexting, que es una forma de ingeniería social mediante la cual se proporciona información falsa a alguien para llevarlo a divulgar información confidencial. A diferencia de los métodos tradicionales de piratería informática, que aprovechan las vulnerabilidades técnicas, el pretexting se aprovecha de la psicología humana, la confianza y la posición de autoridad.

Cada vez más, con la digitalización de las operaciones, las organizaciones se han vuelto muy vulnerables a diversas formas de ciberataques y uno de los más siniestros de ellos es el pretexting. En la mayoría de los casos, los autores obtienen información sobre sus víctimas a través de las redes sociales y otros medios online. Al suplantar la identidad de personas de confianza, como compañeros de trabajo, personal de soporte informático o proveedores, los atacantes pueden entablar conversación con las víctimas y convencerlas de que revelen datos críticos, como contraseñas o información financiera.

Un ejemplo notable de esto es el ataque de 2015 a Ubiquiti Networks. En este caso, los pretextos se infiltraron suplantando a sus altos ejecutivos y solicitando pagos fraudulentos a sus cuentas bancarias por un importe asombroso de 46,7 millones de dólares.

Este artículo ofrece una visión profunda del pretexting explicando qué es, diferenciándolo del phishing, sus repercusiones en las organizaciones, sus metodologías, los tipos de estafas, las estrategias de detección y ejemplos de la vida real, entre otros. También ofrecerá consejos prácticos sobre cómo las organizaciones pueden protegerse contra los ataques de pretexting.

Pretexting - Imagen destacada | SentinelOneDescripción general del pretexting

El pretexting consiste en una técnica de ingeniería social en la que un atacante elabora un escenario falso, o pretexto, con el fin de conseguir la participación de un objetivo y convencerlo de que divulgue información confidencial. Se basa en la confianza, la autoridad y las normas sociales para explotar situaciones en las que se disfraza como una entidad auténtica, como un representante bancario, personal de soporte informático o funcionario gubernamental.

Pretexting frente a phishing

Aunque tanto el pretexting como el phishing son tipos de ingeniería social destinados a engañar a los usuarios para que entreguen información confidencial, difieren en cuanto a su enfoque.

Una estafa de phishing consiste principalmente en correos electrónicos o mensajes fraudulentos que llevan a los usuarios a hacer clic en enlaces ofensivos o a descargar archivos adjuntos maliciosos. Adopta la forma de un sitio de confianza, como sitios bancarios o servicios en línea, y lleva a la víctima a sitios web falsos donde se extrae información personal, como credenciales de inicio de sesión o información financiera. Al igual que cualquier otra actividad maliciosa, el phishing también tiene muchas otras formas, como el spear phishing, en el que se ataca a personas u organizaciones específicas. También existe el vishing, o phishing de voz, en el que se recibe una llamada inesperada para solicitar información.

Por el contrario, el pretexting consiste en crear una historia creíble para obtener información directamente de la víctima. Por lo general, los atacantes se preparan adecuadamente sobre el objetivo, donde la información sobre detalles personales o profesionales les permite diseñar historias creíbles. Por ejemplo, un atacante podría fingir ser un ejecutivo de una empresa o personal de soporte informático y obtener información de la víctima entablando una conversación con ella para persuadirla de que revele información confidencial bajo el disfraz de una solicitud válida. A diferencia del phishing, que se basa en tácticas digitales intensivas, el pretexting suele tener que ver con la comunicación directa y, por lo tanto, puede ser más personal y potencialmente mucho más influyente.

Impacto del pretexting a nivel organizativo

Las organizaciones pueden sufrir importantes perjuicios en diferentes aspectos una vez que el pretexting se ejecuta con éxito. Dado que la información confidencial puede verse comprometida en los registros de los empleados o en los datos de los clientes, puede dar lugar a una violación de datos. También puede causar pérdidas por robo u otros costes debido a las medidas de reparación llevadas a cabo.

Además, las organizaciones pueden sufrir daños en su reputación. Cuando los clientes no creen que una empresa vaya a cuidar la información que recopila, dicha empresa también puede enfrentarse a una pérdida de ingresos y cuota de mercado. Desde el punto de vista legal, los ataques de pretexting son peligrosos. Si se expone esta información confidencial, sobre todo la PII, las organizaciones podrían incurrir en multas de cientos o miles de dólares y en revisiones normativas, tal y como exigen el RGPD o la CCPA.

Por último, las repercusiones del pretexting van más allá de las implicaciones financieras y afectan a la reputación y la estabilidad de la organización a largo plazo. Esto significa simplemente que las organizaciones deben proporcionar medidas de seguridad contra estos riesgos, así como proteger toda la información confidencial.

¿Cómo funciona el pretexting?

El pretexting exige que el atacante ejecute una secuencia de acciones deliberadas para ganarse la confianza de su víctima. Obtener información personal, inventar una historia creíble y solicitar directamente al objetivo a través del contacto cara a cara puede ayudar a bajar las defensas y hacer que sus demandas parezcan legítimas. A continuación se ofrece un desglose paso a paso de cómo funciona literalmente el pretexting:

  • Recopilación de información: Los atacantes investigan a sus víctimas y recopilan información personal como nombres, trabajos y direcciones de contacto. Aprovechan las plataformas de redes sociales como LinkedIn y las bases de datos públicas para crear un perfil completo de la víctima. Con esa información, pueden elaborar una historia creíble para compartir con el objetivo.
  • Elaboración de un pretexto: A continuación, los atacantes crean un escenario creíble que se ajusta al entorno de su objetivo. Por lo general, se hacen pasar por un socio o autoridad conocido y de confianza. Crear una identidad falsa y adoptar un tono de voz y un lenguaje corporal aceptables hace que al objetivo le resulte mucho más difícil cuestionar su autenticidad.
  • Interactuar con el objetivo: Los atacantes lo hacen interactuando directamente con el objetivo, la mayoría de las veces a través de llamadas telefónicas o correos electrónicos. Una vez que el atacante se pone en contacto con la víctima, utiliza la relación para entablar una conversación, conectándola con algún interés común de las partes y bajando las defensas de la víctima.
  • Solicitud de información confidencial: Una vez establecida la relación, los atacantes buscan información confidencial disfrazándola como información necesaria para mantener la historia. En muchos casos, los atacantes logran establecer un elemento de presión temporal sobre la víctima, de modo que esta actúa sin reflexionar y sin pensar en la solicitud.
  • Aprovechamiento de la información: Una vez que los atacantes obtienen la información, pueden aprovecharla para cometer actividades maliciosas, como el robo de identidad y el fraude financiero. Por lo tanto, la información robada puede utilizarse en nuevos ataques, lo que demuestra que el pretexting supone un gran peligro tanto para las personas como para las instituciones.

Tipos de estafas de pretexting

Las estafas de pretexting pueden adoptar muchas formas, pero todas comparten un aspecto: buscan ganarse la confianza y manipular información confidencial. Muchos de estos tipos dependen de las normas sociales o del nivel de confianza inherente que ya existe debido a figuras de autoridad o contactos familiares.

A continuación se presentan dos de los tipos más comunes de estafas con pretextos contra los que deben estar alerta tanto las organizaciones como los particulares:

  1. Suplantación de identidad: La suplantación de identidad es un ataque en el que los atacantes asumen una identidad de confianza dentro de una organización. Esto lo hacen los atacantes que adoptan identidades como las del personal de TI o incluso las de los ejecutivos de la empresa. De manera conveniente, utilizan identidades conocidas para que las personas les faciliten información personal. Por ejemplo, un atacante puede llamar a un empleado fingiendo ser del departamento de TI y solicitarle credenciales de inicio de sesión confidenciales con el pretexto de una comprobación de seguridad rutinaria.
  2. Compromiso del correo electrónico empresarial (BEC): Los ciberatacantes que utilizan el BEC engañan para obtener acceso enviando un correo electrónico a un empleado o ejecutivo, indicando que necesitan una transferencia bancaria o alguna información confidencial. En la mayoría de los casos, estos mensajes dan una impresión de urgencia, por lo que parecen indicar que hay que hacer algo inmediatamente. Un ejemplo común es el de un atacante que, fingiendo ser el director general, envía un correo electrónico al departamento financiero pidiéndole que transfiera dinero para un "proyecto confidencial". En este caso, la víctima actúa a ciegas sin comprobar la autenticidad de la solicitud.
  3. Estafas de soporte técnico: En este caso, el estafador se hace pasar por un técnico de soporte y se presenta como agente de una gran organización. Lo más habitual es que el estafador le llame por teléfono o le envíe un mensaje emergente diciendo que su ordenador tiene graves problemas que deben solucionarse o que tiene una infección que él debe eliminar. A continuación, el estafador solicita información personal o convence a la víctima para que descargue algo malicioso en su ordenador, de modo que el atacante obtenga acceso completo a todos los datos confidenciales almacenados en el ordenador.
  4. Estafas de encuestas: En este caso, el estafador realiza una encuesta falsa alegando que se trata de una encuesta de mercado. Atrae a sus víctimas con promesas de premios y les pide sus nombres, direcciones y, en ocasiones, información financiera. Aprovechando la vulnerabilidad de la víctima ante estas actividades aparentemente inofensivas, los atacantes pueden robar información confidencial que utilizan para suplantar la identidad o realizar cualquier otra actividad ilegal.

Técnicas de pretexting

Muchas de las diferentes técnicas utilizadas en los ataques de pretexting aplican los principios de la psicología y la ingeniería social, lo que las hace parecer legítimas y viables, como si procedieran de un lugar excelente. Algunas de las técnicas de pretexting más comunes utilizadas en los ataques de pretexting son las siguientes:

  • Crear rapport: Los atacantes suelen iniciar una conversación con un tono amistoso y coloquial para crear rapport con el objetivo. Otras veces, simplemente entablan una conversación trivial o utilizan intereses comunes como motivo para relacionarse con alguien o hacen preguntas abiertas que les hacen parecer ligeramente familiares. La relación establecida hace que la víctima baje la guardia y sea más susceptible de cumplir con las demandas de información confidencial.
  • Urgencia y miedo: Algunos atacantes que utilizan el pretexting recurren a la urgencia y al miedo a perder para conseguir que se les complazca. Los atacantes pueden presentar una solicitud como urgente para que se tomen medidas inmediatas con el fin de evitar, entre otras cosas, una brecha de seguridad o una interrupción del servicio. Crear pánico obliga a la víctima a responder de forma apresurada y descuidada, lo que aumenta la probabilidad de que acceda.
  • Autoridad: Algunos ataques de pretexting se basan en establecer o explotar la autoridad. Estos ataques emplean la táctica de fingir ser de una organización o figura de autoridad de confianza. Los atacantes explotan la confianza natural que las víctimas tienen en la autoridad aprovechándose del papel del personal de TI, los ejecutivos de la empresa o los proveedores de confianza. De este modo, manipulan fácilmente a las víctimas para que revelen información confidencial, ya que, como se ha dicho anteriormente, las personas tienden a sentirse honradas de satisfacer las peticiones de las figuras de autoridad percibidas.

¿Cómo identificar y detectar los ataques de pretexting?

Es difícil identificar los ataques de pretexting, pero estos ataques dan lugar a varias señales de alerta que, en muchos casos, pueden alertar a las personas y organizaciones con antelación sobre posibles amenazas. Los principales indicadores son los siguientes:

  • Solicitudes inusuales de información confidencial: La señal de un ataque de pretexting es la solicitud no solicitada, sin previo aviso, de información confidencial, sobre todo por teléfono o por correo electrónico. Cuando reciba una llamada de este tipo en la que se le solicite información personal confidencial, recuerde que es muy improbable que comparta esta información a menos que esté seguro de quién es la persona que llama.
  • Urgencia sin motivo claro: Se trata de un ataque en el que los atacantes suelen crear una sensación de urgencia para presionar a las víctimas a actuar rápidamente. Si recibe una solicitud que insiste en una acción inmediata sin tener una razón aparente o legítima, debe sospechar. Las organizaciones legítimas no exigen una respuesta rápida, por lo que es fundamental tomarse un tiempo para evaluar la situación.
  • Incoherencias en la historia de la persona que llama: Preste atención a cualquier inconsistencia en la información proporcionada por la persona que llama. Si su historia parece extraña o contradictoria, podría indicar que no es quien dice ser. Busque discrepancias en su identidad, el propósito de la llamada o los detalles sobre la organización a la que representa.
  • Solicitudes de información inusuales: Evite las solicitudes de información que una organización legítima no pediría normalmente, como contraseñas, números de la Seguridad Social o información de cuentas bancarias. Las organizaciones establecidas cuentan con un protocolo estándar para el tratamiento de información confidencial y no suelen solicitar este tipo de información en comunicaciones no solicitadas. Tenga mucho cuidado con este tipo de solicitudes. Consulte primero a través de los canales oficiales antes de responder.

¿Cómo proteger su organización contra un ataque de pretexting?

Las organizaciones se enfrentan a una amenaza constante en forma de ataques de pretexting, que pueden provocar graves violaciones de datos y pérdidas económicas si no se toman en serio. Además, se deben adoptar medidas de precaución para proteger la información confidencial y concienciar a los empleados sobre los riesgos que conlleva la ingeniería social. A continuación se presentan algunas de las estrategias clave que se deben adoptar para mejorar la seguridad frente a los ataques de pretexting:

  1. Formación y concienciación: Las organizaciones deben dar prioridad a los programas regulares de formación y concienciación para educar a los empleados sobre las tácticas de ingeniería social, incluido el pretexting. Al informar al personal sobre las diversas técnicas de pretexting que utilizan los atacantes, como la suplantación de identidad y la urgencia, los empleados pueden reconocer mejor los comportamientos sospechosos. La formación debe hacer hincapié en la importancia de verificar las identidades antes de compartir información confidencial, fomentando una cultura de precaución y diligencia.
  2. Protocolos de verificación: Deben seguirse protocolos de verificación legítimos para garantizar que la persona que solicita datos confidenciales es realmente quien dice ser. Las organizaciones deben crear procedimientos estandarizados para la verificación individual, como procesos de devolución de llamada en los que las personas que verifican una solicitud hablan con la entidad solicitante a través de formas de comunicación establecidas. Como resultado, esto añade seguridad al sistema y evita el acceso no autorizado a datos confidenciales, al tiempo que probablemente evita caer en ataques de pretexting.
  3. Plan de respuesta a incidentes: Una de las únicas soluciones para controlar rápidamente los incidentes en un ataque de pretexting es desarrollar y mantener un plan de respuesta ante incidentes. Este plan incluiría la descripción de los procedimientos para informar de un incidente sospechoso, evaluar los daños causados por dicho ataque y las medidas para controlar los daños. Un plan de respuesta garantiza que los empleados sepan cómo actuar con rapidez en caso de una sospecha de violación, a fin de minimizar las consecuencias de dichos ataques.
  4. Políticas de protección de datos: Es necesario implementar políticas de protección de datos para reducir la probabilidad de que se filtren datos confidenciales. Estas deben mencionar específicamente a qué tipos de datos se permite el acceso, a quién y en qué condiciones. El acceso a los datos puede limitarse de modo que una organización solo permita el acceso a aquellos que los necesiten para su trabajo. De este modo, se reducen al mínimo las oportunidades de filtrar dicha información sin el permiso adecuado.

Ejemplos reales de pretexting

Los casos reales de pretexting muestran cómo los atacantes se aprovechan de la confianza y manipulan a la víctima para alcanzar sus objetivos maliciosos. A continuación se presentan algunos ejemplos notables de pretexting:

  • El troyano "AIDS" (1989): También conocido como el precursor del ransomware, el troyano AIDS fue uno de los primeros ejemplos de pretexting en la ciberdelincuencia. A los usuarios de ordenadores que asistían a una conferencia internacional sobre el sida se les proporcionaron disquetes etiquetados como "Información sobre el sida" que contenían un virus troyano. Este virus ocultaba todos los directorios tras instalarse en el ordenador de la víctima, lo que hacía que los archivos fueran invisibles para el usuario. Cifraba toda la información del disco duro y bloqueaba el acceso a los archivos. Para recuperar el acceso, se exigía el pago de un rescate de 189 dólares. El rescate debía enviarse por correo postal a una dirección en Panamá. Este es uno de los primeros ejemplos de ransomware que demuestra no solo el concepto de pretexting, sino también cómo los atacantes utilizan temas de actualidad para engañar a las víctimas y que caigan en sus estafas.
  • Phishing y extorsión a personas en busca de empleo (2023): Estos estafadores, que se aprovecharon de la tendencia de despidos masivos en las industrias tecnológicas, convirtieron en su presa a personas inocentes que buscaban empleo, haciéndose pasar por reclutadores en LinkedIn y otras plataformas. Al duplicar ofertas de empleo reales y crear un portal de empleo, engañaron a sus víctimas para que les facilitaran datos personales confidenciales. Muchas de ellas fueron reclutadas para realizar trámites de empleo falsos y la carga de documentos confidenciales, como información de identificación y financiera, engañó a muchas personas. Esta estafa se aprovechó de personas que buscaban nuevos empleos, lo que demuestra lo oportunistas que son los atacantes a la hora de utilizar los últimos acontecimientos para llevar a cabo sus estafas.
  • Suplantación de identidad del director financiero mediante deepfake (2024): En 2024, una empresa líder fue objeto de un sofisticado ataque deepfake por parte de un atacante que se hizo pasar por el director financiero y otros altos cargos de la empresa. Estos atacantes crearon deepfakes muy realistas, es decir, medios sintéticos que se asemejaban mucho a la apariencia y las voces de esos altos ejecutivos. Los falsos ejecutivos pidieron a un empleado, a través de una videollamada, que transfiriera una enorme suma de dinero, aproximadamente 25 millones de dólares, para lo que describieron como una transacción comercial crítica. El empleado confió en que se trataba de los verdaderos directivos de la empresa y, por lo tanto, transfirió el dinero según sus instrucciones. Este ataque ilustra lo peligrosos que se están volviendo los deepfakes y demuestra la amenaza que supone el fraude corporativo, en el que incluso los profesionales más experimentados pueden ser estafados por simulaciones hiperrealistas de personas de confianza.

Ciberseguridad impulsada por la IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Conclusión

Actualmente, la mayor amenaza en el mundo de la ciberseguridad es el pretexting, es decir, la manipulación y el engaño para infiltrarse en individuos y organizaciones. Solo comprendiendo los mecanismos del pretexting las empresas estarán preparadas para defenderse de él.

Es necesario crear una cultura de concienciación y se deben impartir sesiones de formación periódicas a los empleados sobre las tácticas de los delitos cibernéticos. Se les debe enseñar a verificar la identidad antes de divulgar información clasificada. Los procesos de verificación a nivel de la organización, como el protocolo de devolución de llamada y la autenticación multifactorial, deben aplicarse de forma estricta para garantizar que solo se realicen solicitudes verificadas de información confidencial.

Las verificaciones adecuadas y la sensibilización pueden minimizar los efectos de un ataque de pretexting. Los resultados más probables de estas estafas incluyen pérdidas económicas, daños a la reputación y otros problemas legales. Por lo tanto, las medidas de seguridad de la organización son esenciales para evitar que la información confidencial se filtre al público, manteniendo así la integridad de la organización o su reputación ante las partes interesadas.

"

FAQs

El pretexting es una forma de ingeniería social en la que un atacante crea un escenario ficticio para engañar a la víctima y que esta revele información secreta. Se basa en el engaño y la confianza, ya que el atacante suele hacerse pasar por una autoridad o por alguien que tiene una razón válida para obtener la información.

En el ámbito empresarial, el pretexting se define como una actividad fraudulenta en la que una persona adopta la identidad o el personaje de una figura de autoridad o una fuente de confianza con el fin de obtener información secreta de clientes o empleados. Esto puede ir desde imitar al personal de TI, al director financiero o al proveedor de una empresa que solicita datos confidenciales con el pretexto de realizar comprobaciones o procesos. Podría dar lugar a graves violaciones de la seguridad, pérdida de datos y, en última instancia, implicaciones económicas para la organización, lo que subraya la importancia de contar con medidas de seguridad sólidas y de concienciar a los empleados.

Un ejemplo de pretexting es cuando un atacante se hace pasar por personal de soporte informático de una empresa y se pone en contacto con los empleados, alegando que necesita verificar sus credenciales de inicio de sesión por motivos de seguridad. Al crear una sensación de urgencia y autoridad, el atacante convence a los empleados para que le faciliten sus contraseñas o datos confidenciales. Este ejemplo pone de relieve cómo los atacantes pueden aprovecharse de la confianza inherente a las relaciones laborales, lo que lleva a las personas a cumplir con solicitudes que, de otro modo, podrían cuestionar.

La formación de los empleados, los procedimientos de verificación estrictos, los planes de respuesta a incidentes y las políticas sólidas de protección de datos pueden contribuir a prevenir el pretexting. Imparta a los empleados formación periódica sobre las tácticas utilizadas en el pretexting y adviértales que no revelen información confidencial, alertándoles sobre solicitudes sospechosas. Además, las organizaciones deben desarrollar planes de respuesta a incidentes que permitan responder inmediatamente a posibles infracciones y aplicar políticas estrictas de protección de datos con acceso limitado a dicha información confidencial.

La diferencia más importante entre el phishing y el pretexting es la forma de engaño. El phishing suele consistir en el envío de correos electrónicos o mensajes fraudulentos que hacen que las víctimas visiten sitios web fraudulentos que les roban información, como credenciales de inicio de sesión o datos de sus cuentas financieras. El pretexting consiste en crear una historia o un escenario ficticio para obtener información directamente de la víctima a través de llamadas telefónicas o en persona.

En ingeniería social, el pretexting consiste en crear una situación en la que se engaña a una persona para que entregue datos confidenciales o se obtenga acceso a sistemas seguros. Los atacantes emplean el pretexting para crear una identidad o un motivo para solicitar algo. Se aprovechan de las normas sociales y de la psique humana para obtener la conformidad. De esta manera, los atacantes se hacen pasar por autoridades o fuentes de autoridad para bajar fácilmente las defensas de sus víctimas y obtener datos confidenciales o acceso no autorizado.

Descubre más sobre Ciberseguridad

¿Qué es la gestión de riesgos de la cadena de suministro (SCRM)?Ciberseguridad

¿Qué es la gestión de riesgos de la cadena de suministro (SCRM)?

Proteja su organización de las amenazas de terceros con la gestión de riesgos de la cadena de suministro. Explore los componentes clave, las estrategias y aprenda a proteger su ecosistema.

Seguir leyendo
¿Qué es la gestión de la exposición a amenazas (TEM)?Ciberseguridad

¿Qué es la gestión de la exposición a amenazas (TEM)?

Descubra cómo la gestión integral de la exposición a amenazas ayuda a las organizaciones a detectar amenazas emergentes, evaluar su impacto potencial e implementar controles específicos para minimizar el riesgo en un panorama de amenazas cada vez más complejo.

Seguir leyendo
¿Qué es el modelo de madurez de la gestión de vulnerabilidades?Ciberseguridad

¿Qué es el modelo de madurez de la gestión de vulnerabilidades?

Esta guía detallada explica el modelo de madurez de la gestión de vulnerabilidades, cubriendo sus etapas, beneficios y retos. Aprenda a medir, mejorar y optimizar su programa de vulnerabilidades.

Seguir leyendo
Gestión de vulnerabilidades de seguridad de la información: guía paso a pasoCiberseguridad

Gestión de vulnerabilidades de seguridad de la información: guía paso a paso

La gestión de vulnerabilidades de seguridad de la información (ISVM) es importante para identificar, evaluar y eliminar las debilidades de seguridad con el fin de proteger los datos esenciales contra el robo y evitar daños a la reputación.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración